Gefahren von Phishing, Vishing und Smishing

- Warnmeldung

Die CSBW registriert vermehrt Fälle von Phishing, Smishing und Vishing. Die Vorgehensweise der Täter ist dabei verschieden. Mit drei fiktiven Beispielen zeigt die CSBW die prinzipielle Vorgehensweise und gibt Tipps, wie Sie sich schützen können.
Fisch aus Papier liegt am Angelhaken in einem Netz

© Adobe Stock

Phishing, Vishing und Smishing haben im Wesentlichen gemeinsam, dass Täter versuchen, sich vertrauliche Informationen zu verschaffen. Lediglich das Informationsmedium ist unterschiedlich. Beim Phishing ist das Medium meist eine E-Mail, beim Vishing das Telefon und beim Smishing eine SMS.

Um Sie für unterschiedliche Vorgehensweisen der Angreifer zu sensibilisieren, schildert die CSBW im Folgenden exemplarische Fälle. Die Namen der Protagonisten und Dienststellen sind frei erfunden. Alle Beispiele sind so oder so ähnlich vorgefallen. Die Maschen sind allesamt nicht neu, sind aber zuletzt gehäuft aufgetreten.

Phishing

Klara Schneider ist Mitarbeiterin der Gemeindeverwaltung Otterlingen an der Tauber. Täglich erhält sie zahlreiche E-Mails sowohl von Kolleginnen und Kollegen als auch von Bürgerinnen und Bürgern. Eines Tages sieht sie im Posteingang eine E-Mail mit folgendem Inhalt:

Sehr geehrter Mailbox-Benutzer.

Sie erhalten diese E-Mail, weil Ihr Konto von Ihnen oder einer anderen Person von einem anderen Standort aus verwendet wurde. Deshalb müssen wir eine Untersuchung durchführen. Um Ihr Konto zu schützen, klicken Sie bitte sofort auf den unten stehenden Link, um unmittelbar Updates zur Sicherung Ihres Kontos abzurufen. KLICKEN SIE HIER und füllen Sie das Formular aus.

Danke für Ihre Mithilfe,

Ihr IT-Service-Team

Die E-Mail stammt – vermeintlich – von einer internen Adresse mit der Domäne otterlingen.de. Trotzdem erscheint Frau Schneider die Nachricht seltsam, weil sie nicht der bisherigen Vorgehensweise ihres IT-Kollegen Harald Kluge entspricht. Sie ruft deshalb den Kollegen an und erkundigt sich nach dieser E-Mail. Aufgrund der umfassenden Beschreibung von Frau Schneider vermutet Kluge sofort einen Phishing-Versuch. Er weist sie an, weder Tastatur noch Maus zu bedienen, und eilt an ihren Arbeitsplatz. Herr Kluge erkennt sofort: Durch das umsichtige Handeln seiner Kollegin ist auf diesem Rechner nichts passiert. Vorsorglich fragt er alle Kolleginnen und Kollegen im Haus, ob sie eine ähnliche E-Mail erhalten haben und sensibilisiert sie für die Gefahren, die von Phishing-Mails ausgehen können.

Was wäre möglicherweise passiert, wenn Frau Schneider auf den Link geklickt hätte? Eine Webseite wäre angezeigt worden, auf der Frau Schneider aufgefordert worden wäre, ihre Zugangsdaten einzugeben. Da die Webseite dem Angreifer gehört, hätte er die eingegebenen Zugangsdaten abgreifen und für seine Zwecke missbrauchen können.

Empfehlungen bei Phishing

  • Achten Sie bei E-Mails auf folgende mögliche Anzeichen einer Fälschung:
    • Verdächtige Absenderadressen
    • Betreffzeilen
    • Ungewöhnliche Rechtschreibfehler oder Übersetzungsfehler
    • Ungewöhnlich formatierte Texte
    • Texte, die teils in Deutsch und teils in anderer Sprache verfasst sind
    • Ungewöhnliche Signaturen
  • Wenn Sie Zweifel an der Echtheit einer E-Mail haben, gehen Sie folgendermaßen vor:
    • Besuchen Sie die offizielle Website des Absenders. Vergleichen Sie die dort angegebenen Kontaktinformationen mit denen in der Nachricht.
    • Wenn Sie den Absender kennen, rufen Sie an und vergewissern Sie sich, dass die E-Mail bewusst an Sie versendet wurde.
  • Bevor Sie auf einen Link klicken, positionieren Sie den Mauszeiger auf der Link-Fläche. Warten Sie kurz, ohne zu klicken. Das sogenannte Mouseover zeigt das Link-Ziel an, das Sie dann besser beurteilen können.
  • Klicken Sie nicht auf Anhänge oder Links, die verdächtig erscheinen oder von einem unbekannten Absender kommen. Dies gilt vor allem dann, wenn der Absender um Geld oder persönliche Informationen bittet.
  • Wenn Sie eine verdächtige E-Mail erhalten haben, löschen Sie diese oder verschieben Sie die Mail in Ihren Spam-Ordner.

Vishing

Heinrich Maier arbeitet im Landratsamt Oberes Neckartal. Von einer Handy-Nummer aus erhält er auf seinem Bürotelefon einen Anruf von einer Dame. Sie gibt sich als Mitarbeiterin des renommierten Dienstleistungsunternehmens FMC aus, das für dieses Landratsamt arbeitet. Die Dame nennt zwar ihren Namen, jedoch so schnell und undeutlich, dass Herr Maier ihn nicht versteht. Bevor er nachfragen kann, erkundigt sich die Anruferin freundlich, aber bestimmt nach einer Kollegin von Herrn Maier und bittet unter dem Vorwand einer dringenden Angelegenheit um ihre Kontaktdaten. Spätestens jetzt verstärkt sich das merkwürdige Gefühl in der Magengegend von Herrn Maier. Um nicht Opfer der offensichtlich manipulativen Vorgehensweise der Dame zu werden, beendet er das Telefonat. Zuvor hatte er sich die Handy-Nummer notiert, damit ggf. die Polizei im Nachgang einen Ermittlungsansatz hat.

Solche Anrufe führen Angreifer oftmals durch, um sich sensible Informationen zu verschaffen. Diese können die Angreifer dann für einen weitergehenden Angriffsversuch verwenden. Ein anderer Zweck solcher Anrufe sind betrügerische Absichten, wobei der Angerufene z. B. dazu gedrängt wird, Geld auf ein bestimmtes (Täter-)Konto zu überweisen.

Empfehlungen bei Vishing

  • Fragen Sie nach dem Namen des Anrufers und seiner Organisation. Wenn nötig, bohren Sie so lange nach, bis Sie die Namen verstanden haben. Alleine diese Beharrlichkeit kann bei zwielichtigen Anrufern dazu führen, dass sie von sich aus das Gespräch beenden.
  • Geben Sie am Telefon keine internen oder sensiblen Informationen an unbekannte Personen preis.
  • Wenn Ihre Telefonanlage keine Anrufhistorie hat, notieren Sie bei verdächtigen Anrufen die Telefonnummer.
  • Wenn Ihnen das Gespräch merkwürdig vorkommt oder wenn Druck auf Sie ausgeübt wird, beenden Sie das Telefonat umgehend.
    Beachten Sie: Druck kann durch geeignete manipulative Äußerungen sehr subtil und unterschwellig ausgeübt werden. Achten Sie auf Ihr Bauchgefühl.
Beispiel SMS zum Thema Smishing

Beispiel für eine Smishing-Nachricht

© CSBW

Smishing

Wenn in diesem Beispiel das Opfer der Bitte nachkommt, eine WhatsApp-Nachricht zu senden, weiß der Angreifer, dass die Handy-Nummer des Opfers existiert. Dieses Wissen mag auf den ersten Blick harmlos erscheinen. Jedoch kann der Angreifer diese Nummer für spätere Angriffsversuche nutzen.

Bei einer anderen Masche geben Kriminelle vor, dass ein erwartetes Päckchen demnächst eintreffe. Das Opfer wird aufgefordert, dies durch Antippen eines Links zu bestätigen. Allein schon das Antippen des Links könnte das Herunterladen von Schadsoftware auslösen.

Empfehlungen bei Smishing

  • Befolgen Sie die Anweisungen nicht. Tippen Sie insbesondere nicht auf Links.
  • Blockieren Sie die Nummer.
  • Löschen Sie die SMS-Nachricht, um zu verhindern, später versehentlich auf den Link zu tippen.
  • Wenn Sie unsicher sind, wenden Sie sich an eine Person Ihres Vertrauens und bitten um ihre Einschätzung.
  • Folgende Empfehlungen gelten allgemein für Phishing, Vishing und Smishing:

    • Melden Sie Vorfälle im beruflichen Umfeld der zuständigen Stelle in Ihrem Haus. Sie entscheidet über die weitere Vorgehensweise.
    • Melden Sie den Vorfall auch dann, wenn Sie auf eine Masche hereingefallen sind. Dies kann Kollegen schützen, selbst Opfer einer Masche zu werden.
    • Eine Anzeige bei der Polizei kann sinnvoll sein. Sie fügt auf nationaler und internationaler Ebene die Ermittlungsergebnisse aus vielen Einzelfällen zu einem Bild zusammen. Dies kann am Ende zu einem Ermittlungserfolg führen, z. B. der Festnahme von Tätern oder der Zerschlagung von Infrastruktur.
    • Prüfen Sie Zahlungsaufforderungen mehrfach und halten Sie im Zweifel Rücksprache mit Kollegen und Vorgesetzten.
    • Stellen Sie sicher, dass Zahlungsaufforderungen und Gehaltsvorgänge den offiziellen Prozessen und Vorgaben der zuständigen Institution entsprechen.
    • Prüfen Sie, wie beispielsweise Bankverbindungen oder Rechnungsinformationen angepasst werden dürfen und sollen.